dtl consultancy.
← terug naar blog
wet & regelgeving, ai-strategie, mkb

ai gebruiken zonder avg-stress: zo voldoe je aan de eu ai act.

tl;dr

de grootste blokkade voor ai is vaak niet techniek, maar angst voor wetgeving. die angst is begrijpelijk, maar meestal onnodig. met een risicobenadering, heldere leveranciersafspraken en praktische governance kun je vandaag al veilig en compliant starten.

  • angst voor boetes leidt vaker tot stilstand dan de wet zelf
  • de meeste mkb-toepassingen vallen niet in de zwaarste ai-act categorie
  • avg en eu ai act vragen vooral om aantoonbare keuzes, niet om perfectie
  • met een kort compliance-basispakket kun je binnen 30 dagen verantwoord live

“we willen wel met ai, maar straks doen we iets fout met avg of de ai act.”

die zin horen we nu wekelijks.

de angst is logisch. de regels zijn nieuw, verspreid over meerdere kaders en in veel organisaties is niemand formeel eigenaar van ai-compliance. gevolg: teams vertragen, pilots blijven hangen, en concurrenten lopen uit.

waar de angst vandaan komt

de onzekerheid is niet ingebeeld. uit onderzoek van de kvk (september 2025) blijkt:

  • de helft van ondernemers kent de ai act niet
  • slechts 7% zegt goed op de hoogte te zijn
  • maar 2-3% neemt al concrete voorbereidingsmaatregelen
  • 4 op de 10 weten niet of de wet voor hen gevolgen heeft

tegelijk gebruikt 30% van ondernemers al generatieve ai-tools in de praktijk. precies daar ontstaat spanning: gebruik groeit sneller dan governance.

wat juridisch echt speelt (in gewone taal)

er zijn twee lagen waar je rekening mee houdt:

  1. avg (gdpr): wanneer je persoonsgegevens verwerkt, moet je doel, grondslag, dataminimalisatie, transparantie en beveiliging op orde zijn.
  2. eu ai act: deze wet kijkt naar het risico van de ai-toepassing en legt extra eisen op naarmate het risico hoger is.

de ai act wordt gefaseerd toegepast. volgens de eu ai act service desk gelden verboden toepassingen en ai-geletterdheid sinds 2 februari 2025, volgen brede transparantie- en veel high-risk verplichtingen vanaf 2 augustus 2026, en is de volledige uitrol voorzien per 2 augustus 2027.

belangrijk: dit betekent niet dat je moet wachten tot 2027. het betekent dat je nu je fundament legt.

de grootste misvatting

veel organisaties denken: “als het juridisch niet 100% zeker is, kunnen we beter niets doen.”

maar niets doen is ook een risico:

  • shadow ai groeit buiten zicht
  • data belandt in onbeheerde tools
  • teams bouwen workaround-processen zonder controles

de ap benadrukt juist dat verantwoorde inzet mogelijk is als je doelen, risicoafweging, transparantie en controle over data en omgeving goed regelt.

een praktisch 30-dagen plan

geen juridisch handboek. wel concrete stappen die werken.

week 1: inventariseren en prioriteren

  1. maak een lijst van alle ai-tools die al gebruikt worden (ook “informeel”)
  2. label per use case: verwerkt dit persoonsgegevens? ja/nee
  3. classificeer voorlopig risico: minimaal, beperkt, mogelijk hoog
  4. kies 1-2 use cases met laag of beperkt risico als startpunt

week 2: basis op orde

  1. stel een kort ai-gebruiksbeleid op (1 pagina is genoeg voor start):
    • welke data mag wel/niet in prompts
    • welke tools zijn toegestaan
    • wanneer menselijke controle verplicht is
  2. update je verwerkingsregister en controleer of een dpia nodig is
  3. check leverancierscontracten: verwerkersafspraken, datalocatie, bewaartermijnen, subverwerkers

week 3: transparantie en controle

  1. regel transparantie naar klanten en medewerkers:
    • geef aan wanneer iemand met ai communiceert
    • leg uit welke data wordt gebruikt en waarom
  2. richt logging in voor output, uitzonderingen en menselijke overrides

week 4: borgen

  1. train teams op ai-geletterdheid en maak een vast reviewritme (bijv. maandelijks)

dit is de kern: aantoonbaar kunnen laten zien dat je bewust keuzes maakt, monitort en bijstuurt.

concrete tips per veelvoorkomende use case

chatbot klantenservice

  • laat duidelijk weten dat het om ai gaat
  • blokkeer invoer van bijzondere persoonsgegevens waar mogelijk
  • routeer gevoelige vragen naar een medewerker

interne copilots (mail, samenvatten, notulen)

  • gebruik standaard templates zonder persoonsgegevens als default
  • voeg waarschuwingen toe in promptschermen
  • zet retention en data-sharing met modeltraining expliciet uit waar mogelijk

werving en selectie

  • behandel dit als verhoogd risicogebied
  • leg menselijke eindbeslissing en criteria vast
  • test op bias en documenteer correcties

van angst naar regie

compliance hoeft geen rem te zijn. het is een ontwerpkeuze.

organisaties die nu een lichte maar strakke governance-laag bouwen, krijgen het beste van twee werelden: snelheid in uitvoering en rust richting directie, klanten en toezichthouders.

wil je eerst de juridische basis helder hebben? lees ook: mag dit wel? ai en de wet uitgelegd.

volgende stap?

het AI Startkompas geeft je een heldere roadmap voor ai-integratie én compliance. taco bouwt de techniek die versnelt, bart bewaakt de governance die beschermt.

plan een gesprek

dtl consultancy • taco van der poel & bart kuiper • ai voor business, overheid en non-profit